首页 > 动态 > 关键词  > 铁道部最新资讯  > 正文

铁道部购票网站存泄密危险 CDN服务商技术短板是主因

2012-01-05 16:09 · 稿源:TechWeb

【TechWeb报道】2012年,顺应广大消费者需求铁道部全面推行实名制、网络购票、电话订票等新措施,对于众多渴望年底回家团年,顺利买到火车票的消费者是重大利好,如果一切顺利,这无疑是铁道部为消费者干得最漂亮的一件实事。

中国铁路客户服务中心网(www.12306.cn)是网购火车票的唯一官方网站,但从12306网站正式上线至今,由于访问量过大,不少旅客在12306网购车票时,频频遭遇“系统忙”而无法访问。对此,铁道部表示正在不断优化相关程序,完善设备设施,增加网络带宽,努力改进工作。

图注:从12360网站上线开始其访问量持续攀升

我们愿意相信这些问题也仅仅属于短期或个别,且可以通过申诉解决。但一个更大的隐患正在显现,近日,在国内知名的技术论坛CSDN上,一位名叫”特总兵-AK47”的网友研究发现12306网络售票网站存在安全问题,他认为铁道部购票网站可能造成另一次的密码危机。

这位网友认为,12306网站的前端基本架构是jQuery+Struts+CDN(即content distributionnetwork),其中的CDN服务(内容分发加速网络)是网宿科技由支持。而铁道部互联网售票系统集成项目则由太极软件负责。

而据媒体此前报道称,网宿科技自2010年起两项主营业务CDN和IDC(互联网数据中心)毛利率均迅速大幅下降。而网宿科技的解决之道则是开始走低价路线,“在没有技术优势的前提下,网宿科技打出了最擅长的低价牌,然而号称要做行内龙头企业的网宿科技,在高科技旗下的低价路线,面对着不断上涨的营业成本,似乎已经走上了一条不归路。”

而低价可能是铁道部最终选择网宿科技的原因之一。这造成的直接结果必然是技术层面的缺陷和安全问题隐患。

该人士列举了目前为止在12306发现的几项安全漏洞:

第一、不安全。查询列车信息的querySingleAction.do,并没有用JS语言记录,而是用更易看懂的HTML上传;且用户信息采用明文记录,网络爬虫可轻松抓取。

图注:用户信息采用明文记录,网络爬虫可轻松抓取

第二、速度慢。系统将JS和CSS加载起来毫无意义,用户点击“预定按钮”,就会跳出了33个CSS格式请求,每个耗时5-6秒的,直接造成网络繁忙;网站全部采用旧时的iframe架构,每次点击时候都要全部加载页面,极大拖慢网速。

图注:加载JS和CSS毫无意义,只会极大拖慢网速

第三、技术落后。除了上面提到的iframe架构,网站仅裁用了DHTMLX 2.0版本,而现在业界普遍适用的早已升级到3.0版本。

图注:DHTMLX都已经升级到3.0啦,竟然用的2.0

这些安全漏洞的存在,似乎也让12306目前出现的种种问题显得不足为奇。网友”特总兵-AK47”认为,12360目前遇到的问题完全不是带宽的问题,真正的问题在于该网站的内容分发系统完全没有在做负载均衡处理。同时,他还向铁道部支招,“其实解决这个问题很简单,把网络传输的内容减少90%就可以。”(恰克)

举报

  • 相关推荐
  • 服务商GMV上涨85%,抖音生活服务正在步入深水区

    2024年,是抖音生活服务快速发展的一年,入驻商家从餐饮服饰到休闲旅游,持续扩张。与此同时,在本地生活业务占据重要地位的服务商,也在不断迭代。作为推动本地生活行业的重要力量,服务商一定程度上承担着抖音平台与商家之间沟通的桥梁。1月7日,抖音生活服务在海南三亚举办了直营服务商年度峰会。大会上,抖音平台公布了一组数据——过去一年,抖音服务商支�

  • OPPO法务回应陈震泄密Find N5:已启动调查 追究相关人员责任

    前不久刚刚因为泄密赔偿500万的陈震又泄密了,这次是提前曝光了OPPO尚未发布的折叠屏新机FindN5。在引发热议后,陈震发文称:那个手机不是我的,也没签过任何协议,只是刚好看到觉的很薄,于是就拍了张照片发了个微博,然后对方有人跟我沟通了一下,我就把微博隐藏了,仅此已。OPPO呼吁所有合作伙伴、媒体机构及行业从业者共同维护健康、公正的市场秩序,尊重企业合法权益,恪守职业操守,避免因不当行为承担不必要的法律风险。

  • 压岁钱发现ATM机满了 友:有趣的循环

    2月5日,浙江杭州发生了一件有趣的事。一名女子在年初八的上午前往银行存压岁钱时,惊讶地发现两台ATM机都显示存满了,无法再进行存款操作。据该女子介绍,她按照惯例在春节期间收到了不少压岁钱,打算在年后将其存入银行。然而,当她来到银行准备存款时,却遇到了这样的尴尬情况。她尝试了两台ATM机,但都显示存满,无法继续接受存款。这一事件迅速引起了网友们

  • QQ音乐遭利用加载恶意文件!网站被劫持推广私服

    今天火绒发布技术分析,称QQ音乐遭遇白加黑”利用,网站被劫持推广传奇私服。近期火绒威胁情报中心监测到QQ音乐目录下存在异常进程自启现象,经溯源分析,确认该进程文件为2021年版本的QQMusic.exe文件。火绒安全产品可对上述病毒进行拦截查杀,感兴趣的可以前往查看完整分析过程。

  • 央视:你以为的自动驾驶 可能是驶向危险的快车道

    快科技1月24日消息,据央视网报道,一些车主在网络频繁晒出使用车辆自动驾驶”功能的视频。视频中驾驶员在高速公路上将主驾座椅放倒,甚至盖着被子蒙住双眼,还有些人坐到后排看电影。对此,中国汽车技术研究中心首席专家姜国凯指出,目前市面上车辆最高搭载的是L2级自动驾驶系统,即组合驾驶辅助系统。当前春运期间车流和人流密集,驾驶员即使开启智能驾驶系统,也需保持注意力,双手不离方向盘。小编也提醒大家,尽管自动驾驶技术已有进步,但目前仍属辅助驾驶”,并非完全代替驾驶人,目前已有多起因使用自动驾驶功能引发的车祸案例。?

  • 工信宣布:开展万兆光试点工作

    今日,工业和信息化部办公厅发布关于开展万兆光网试点工作的通知,到2025年底,在有条件、有基础的城市和地区,聚焦小区、工厂、园区等重点场景,开展万兆光网试点。万兆光网是下一代光网络的升级演进方向,是新型信息基础设施的重要组成部分。试点发展云存储、云电脑、云游戏、超高清视频、裸眼3D、基于光感的看家、康养等万兆光网业务。

  • Check Point:2025 - AI 技术络安全的关键一年

    2025年人工智能的快速发展必将极大地改变网络安全形势。作为网络安全解决方案先驱者和全球领导者,CheckPoint公司认为以下几项重要发展趋势将在新的一年中,给我们的数字世界带来重大影响。未来安全形势如何将取决于我们能否有效应对这一复杂的AI环境。

  • 别花冤枉钱!铁路部门提醒:没有任何购票加速包等额外收费

    根据官方公布的数据,1月17日,全国铁路客流持续走高,预计发送旅客1280万人次,计划加开旅客列车778列。1月16日,全国铁路发送旅客1202.6万人次,运输安全平稳有序。同时确认票款的收款方为中国铁路网络有限公司”,避免后续退票、改签时无法收到应退款项。

  • MOVA CES之旅:技术创新引领

    在2025年国际消费电子展这一全球科技盛宴上,一个成立仅8个月的高端智能家电品牌——MOVA,以其非凡的技术实力和创新产品阵容,成功吸引了全球的目光,成为展会上一颗璀璨的新星。MOVA通过展出超过20款旗舰产品和令人瞩目的十一项首创技术,不仅彰显了其在智能清洁及个护领域的深厚积累,更为整个智能家电行业带来了全新的变革动力。随着MOVA在技术创新上的不断深耕和拓展,相信它将为智能家电行业带来更多的惊喜和变革。

  • 百度安全双揽工信典型案例,大模型安全技术渐成行业典范

    百度安全凭借在人工智能安全领域的创新实践和突出贡献,连续入选工业和信息化部两项典型案例:作为单独申报单位入选"2024年度网络安全技术应用典型案例"支持项目名单,同时名列151项"人工智能赋能新型工业化典型应用案例"之中。2024年度网络安全技术应用典型案例&人工智能赋能新型工业化典型应用案例作为AI安全领域的领军企业,百度安全始终坚持以技术创新引领行业发展。百度安全将继续携手行业合作伙伴,以技术创新推动大模型安全的健康发展,也将在大模型安全领域持续投入,为各行各业提供更加专业、可靠的安全服务,助力人工智能产业的可持续发展,为构建更加安全可信的AI应用环境贡献力量。